Archit3ct와 IR4DEX 그룹은 비난받기 쉬운 체계를 손상하기 위하여 악의 있는 사람들에 의해 개발될 수 있는 SmartSiteCMS에 있는 취약성을 발견했다.

입력은 "뿌리" 매개변수에 안으로 포함한다 통과했다 또는 inc_foot.php는 사용되기 전에 제대로 포함한다 파일을 확인되지 않는다. 이것은 국부적으로 또는 외부 리소스에서 포함 파일에 의해 임의 PHP 부호를 수행하기 위하여 개발될 수 있다.

취약성은 버전 1.0에서 확인되었다. 다른 버전은 또한 영향 받을지도 모른다.

연결

Kw3 [R] Ln는 비난받기 쉬운 체계를 손상하기 위하여 악의 있는 사람들에 의해 이용될 수 있는 BandSite CMS에 있는 약간 취약성을 보고했다.

1) 입력하는 "root_path" 매개변수에 통과해 안으로 포함한다 또는 내용 또는 contact_content.php는 사용되기 전에 제대로 포함한다 파일을 확인되지 않는다. 이것은 국부적으로 또는 외부 리소스에서 포함 파일에 의해 임의 PHP 부호를 수행하기 위하여 개발될 수 있다.

2) 입력해 "adminpanel" 전화번호부는의 밑에 복수 파일에 있는 "root_path" 매개변수에 통과해 또한 사용되기 전에 제대로 포함한다 파일을 확인되지 않는다. 이것은 국부적으로 또는 외부 리소스에서 포함 파일에 의해 임의 PHP 부호를 수행하기 위하여 개발될 수 있다.

연결

둘 다에 있는 성공적인 착취는 "register_globals"를 가능하게 될 것을 요구한다.

해결책은 편집한다 입력이 제대로 항상 확인된ㄴ다는 것을 보증하기 위하여 원시 파일을 이다. 그것은 "register_globals"를 무능하게 해 매우 쉬울.

개발자가 단순히 입력을 위생적으로 하기 것을 무시하기 때문에 php에 근거한 소프트웨어에서 항상 발견되는 안전 취약성을 보는 것이 아주 고통스럽다. WordPress CMS는 아무 예외도 없다.